利用單臂路由實現VLAN間路由
本實驗模擬公司網絡場景。路由器R1是公司的出口網關,員工PC通過接入層交換機(如S2和S3)接入公司網絡,接入層交換機又通過匯聚交換機S1與路由器R1相連。公司內部網絡通過划分不同的VLAN隔離了不同部門之間的二層通信,保證各部門間的信息安全,但是由於業務需要,經理、市場部和人事部之間需要能實現跨VLAN通信,網絡管理員決定借助路由器的三層功能,通過配置單臂路由來實現。
實驗拓撲
實驗步驟
1、創建VLAN並配置Access、Trunk接口
在S2上創建VLAN10和VLAN20,把連接PC的接口設置為Access類型,並划分到相應VLAN
在S3上創建VLAN30,把連接PC的接口設置為Access類型,並划分到相應VLAN
交換機之間和交換機與路由器之間需要配置Trunk接口
在S1上創建VLAN10、VLAN20、VLAN 30並配置交換機和路由器的接口為Trunk,允許所有VLAN通過。
2、配置路由器子接口和IP地址
由於路由器R1只有一個實際的物理接口與交換機S1相連,可以在路由器上配置不同的邏輯子接口來作為不同VLAN的網關,從而達到節省路由器接口的目的。
在R1上創建子接口GE 0/0/1.1,配置IP地址192.168.1.254/24,作為人事部網關地址。同理,設置市場部、經理的網關地址
在PC1上測試PC2和PC3的連通性
通信無法建立
3、配置路由器子接口封裝VLAN
在RI的於按口GE 0/0/1.1上封裝VLAN 10,在於按口GE 0/0/1.2上封裝VLAN 20,在子接口GE 0/0/1.3.上封裝VLAN30,並開啟子接口的ARP廣播功能。(使用dot1q termination vid 命令配置子接口對一層tag報文的終結功能。即配置該命令后,路由器子接口在接收帶有VLAN tag的報文時,將剝掉tag進行三層轉發,在發送報文時,會將與該子接口對應VLAN的VLAN tag添加到報文中。使用arp broadcast enable命令開啟子接口的ARP廣播功能。如果不配置該命令,將會導致該子接口無法主動發送ARP廣播報文,以及向外轉發IP報文。)
同理,配置GE 0/0/1.2和GE 0/0/1.3
配置完成后,在R1上查看查看接口狀態,可以看到3個子接口的物理協議和協議狀態都正常。
查看路由表,可以看到,畫線的路由條目都是路由器R1的直連路由,類似於路由器上直連的物理接口
在PC1上分別測試網關地址和PC2的連通性,可以連通。
